icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest

Browser fingerprinting: gevolgd worden zonder cookies

Ook zonder cookies kunnen websites je volgen. Wel 1 op de 3 gebruikt alternatieve trackingtechnieken als ‘browser fingerprinting’. Hoe werkt het en wat kun je ertegen doen?
Peter Kulche

Peter Kulche , Expert Elektronica Bijgewerkt op: 1 september 2022

figerprinting door websites 2

Wat is fingerprinting?

Fingerprinting is een techniek die gebruikmaakt van een simpel gegeven. Computers verschillen altijd van elkaar. Denk aan verschillen in besturingssysteem, browserversie, schermresolutie en nog veel meer gegevens.

Die combinatie van apparaatgegevens levert een unieke vingerafdruk op waar een bezoeker aan te herkennen is. Die vingerafdruk wordt gebruikt om fraude of misbruik van de website te voorkomen. Maar ook om gericht te adverteren. 

34% van de sites past techniek toe

In januari 2022 deden we een steekproef met 100 populaire websites. We zien dat 34% daarvan een ‘vingerafdruk’ maakt van de browser van de bezoeker. Dat is veel meer dan de 12% in onze steekproef in 2018. Wij gebruikten de Chrome-extensie ‘CanvasFingerprintBlock’ als verklikker (inmiddels niet meer beschikbaar in de Chrome Web Store).

De meeste websites hebben de vingerafdruk al genomen voordat je er via het ‘cookie-OK’-menu mee hebt kunnen in stemmen. En ze doen het ook als je surft in de ‘privacy-modus’ van je browser. 

Fingerprinting is een behoorlijk privacyschendende techniek. Het levert ongevraagd een ‘kenteken’ op dat kan worden gebruikt om je internetgedrag te volgen.

Hello fresh

Wat is het doel van fingerprinting?

We hebben alle 34 fingerprintende sites aangeschreven. Slechts 17 reageerden. Ze melden dat ze de techniek gebruiken voor fraudebestrijding: ze koppelen de kenmerken van je computersysteem aan je gebruikersaccount. Zodat je account niet (zomaar) vanaf een vreemde computer kan worden gebruikt.

Sommige sites melden dat ze fingerprinting gebruiken om het grootschalig kopiëren van de site tegen te gaan. Of om een denial of service-aanval te herkennen en af te weren.

Geen reactie

Van de helft van de sites krijgen we geen reactie. Terwijl we weten dat fingerprinting ook gebruikt kan worden voor het volgen van gebruikers voor persoonlijke reclame.

Opvallend

Opvallend is dat de site van de privacyvriendelijke berichten-app Signal een vingerafdruk van de browser maakt. Zonder enige toelichting. En zonder instemming.

We hebben geen reactie van Signal gekregen op ons verzoek om een toelichting. De vingerafdruk wordt alleen gemaakt op de donatiepagina. De fingerprinting heeft dus waarschijnlijk te maken met de beveiliging van deze financiële transactie. Maar dat weten we niet zeker.

Mag dit eigenlijk wel? 

Volgens de Telecom- en privacywet (AVG) mag een website in beginsel alleen fingerprinten als de consument ermee instemt. Alleen ing.nl, nu.nl en telegraaf.nl wachten met hun vingerafdruk totdat je akkoord geeft voor de cookies en andere technieken voor tracking. De anderen doen het zonder enige vorm van instemming.

Geen veiligheidsargument

ABN AmroMogelijk hebben de banken een speciale status waardoor ze het zonder toestemming mogen. Ze zijn volgens antifraudewetgeving namelijk verplicht om hun site extra goed te beveiligen. Maar bij abnamro.nl, ing.nl en rabobank.nl zien wij de fingerprinting ook op de homepage. Niet alleen bij het inloggen. Daar is geen veiligheidsargument voor.

Een flink deel van de fingerprintende websites is dus mogelijk in overtreding: ze gebruiken de techniek zonder een goede juridische ‘grondslag’. We hebben onze bevindingen met de Autoriteit Persoonsgegevens gedeeld. Die kan eventueel een onderzoek instellen.

Wat kun je er tegen doen?

Gelukkig heel wat, met de juiste software:

  • Browser Mozilla Firefox (voor de pc, Mac en je telefoon of tablet) heeft ingebouwde bescherming tegen fingerprinting. 
  • Ook Apple-browser Safari (op iPhone, iPad, Mac) beschermt je er in principe tegen.
  • Google Chrome beschermt je niet. Maar je kunt wel de extensie Canvas Fingerprint Defender installeren om bescherming toe te voegen.

Fingerprinter varianten

Bij passieve fingerprinting gebruikt de website de eigenschappen die je browser automatisch doorgeeft als je de website bezoekt. Bijvoorbeeld de schermresolutie, versie van de browser en het besturingssysteem. Deze fingerprinting is lastig te detecteren. Maar browsers Firefox en Safari beschermen je er wel tegen, doordat ze weinig informatie delen met de site.

Actieve fingerprinting is makkelijker waar te nemen. De website unieke kenmerken uit de browser probeert te halen. Onze steekproef wijst uit dat canvas fingerprinting een populaire vorm is. De site draait een scriptje dat je browser de opdracht geeft om een onzichtbare tekening maken. Omdat iedere browser die tekening op een net iets andere manier maakt, ben je hier vaak aan te herkennen. In onze steekproef met de 100 websites checkten wij of de canvas fingerprinting techniek werd toegepast.

Schrijf je in voor onze gratis e-mails

Blijf op de hoogte van nieuws, acties en tips. Zo bespaar je geld, voorkom je een miskoop én weet je wat jouw rechten zijn als consument.
In onze privacyverklaring lees je hoe we omgaan met je persoonsgegevens en e-mails voor je personaliseren. Afmelden kan altijd.

Nieuw & interessant

  • social media privacy internet eerste indruk
    28 apr.

    Mastodon

    Mastodon is een alternatief sociaal netwerk met een open karakter. Bij dit platform komen je gegevens niet in handen van 1 commerciële partij. Het succes van Mastodon hangt sterk af van het aantal gebruikers.
  • privacytest-sociale-netwerken
    8 mrt.

    Privacytest sociale netwerken

    Bij veel sociale netwerken is je privacy niet veilig. Je geeft vaak meer informatie weg dan je denkt. Onze software-experts ontdekten ook veiligheidsproblemen.
  • Startpage Extensie installeren
    Eerste indruk | 3 feb.

    Startpage Privacy Protection

    Internetten zonder zorgen over je privacy? Zoekmachine Startpage belooft het met de browserplugin Startpage Privacy Protection. De extensie blokkeert cookies en trackers op de pc. Hoe bevalt dat in de praktijk?
  • Sfeerbeeld online
    17 jan.

    Dag van de privacy: 5 ergernissen gefixt

    Webwinkels die je ongevraagd reclamemails sturen. Al die cookiemeldingen bij het internetten. Op de dag van de privacy (28 januari) pakken we de 5 grootste privacy-ergernissen aan.